Am 26. November 2024 hat GitLab neue Patch-Releases für die Community Edition (CE) und Enterprise Edition (EE) veröffentlicht: Versionen 17.6.1, 17.5.3 und 17.4.5. Diese Updates beinhalten kritische Sicherheitskorrekturen und Bugfixes. Alle selbstverwalteten Installationen sollten umgehend auf eine dieser Versionen aktualisiert werden.
Die folgenden Schwachstellen wurden behoben:
1. Privilegieneskalation durch LFS-Tokens (CVE-2024-8114)
- Betroffene Versionen: GitLab 8.12 bis 17.4.4, 17.5 bis 17.5.2, 17.6 bis 17.6.0.
- Beschreibung: Angreifer mit Zugriff auf das Personal Access Token (PAT) eines Benutzers können Privilegien eskalieren.
- Schweregrad: Hoch (CVSS: 8.2).
- Lösung: Behoben in den aktuellen Patch-Releases.
2. DoS durch fehlerhafte Verarbeitung von cargo.toml-Dateien (CVE-2024-8237)
- Betroffene Versionen: Alle Versionen vor 17.4.5, 17.5.3 und 17.6.1.
- Beschreibung: Ein Angreifer kann durch manipulierte
cargo.toml-Dateien eine Überlastung und Denial-of-Service (DoS) auslösen. - Schweregrad: Mittel (CVSS: 6.5).
3. Unbeabsichtigter Zugriff auf Nutzungsdaten über Scoped Tokens (CVE-2024-11669)
- Betroffene Versionen: GitLab 16.9.8 bis 17.4.4, 17.5 bis 17.5.2, 17.6 bis 17.6.0.
- Beschreibung: Bestimmte API-Endpunkte konnten unautorisierten Zugriff auf sensible Daten ermöglichen.
- Schweregrad: Mittel (CVSS: 6.5).
4. DoS über die Harbor-Registry-Integration (CVE-2024-8177)
- Betroffene Versionen: GitLab 15.6 bis 17.4.4, 17.5 bis 17.5.2, 17.6 bis 17.6.0.
- Beschreibung: Integration mit einer manipulierten Harbor-Registry kann Ressourcenerschöpfung und DoS verursachen.
- Schweregrad: Mittel (CVSS: 5.3).
5. Ressourcenerschöpfung durch test_report-API-Aufrufe (CVE-2024-1947)
- Betroffene Versionen: GitLab 13.2.4 bis 17.4.4, 17.5 bis 17.5.2, 17.6 bis 17.6.0.
- Beschreibung: Ein Angreifer kann durch speziell gestaltete API-Aufrufe einen DoS-Zustand erzeugen.
- Schweregrad: Mittel (CVSS: 4.3).
6. Ungültige Token-Invalidierung für Streaming-Endpunkte (CVE-2024-11668)
- Betroffene Versionen: GitLab 16.11 bis 17.4.4, 17.5 bis 17.5.2, 17.6 bis 17.6.0.
- Beschreibung: Token blieben bei Langzeitverbindungen auch nach Widerruf gültig, was unautorisierte Zugriffe ermöglichte.
- Schweregrad: Mittel (CVSS: 4.2).
Die Updates enthalten außerdem wichtige Fehlerkorrekturen, darunter:
- Version 17.6.1: Verbesserung der Lizenz-Validierung für SBOM-Daten.
- Version 17.5.3: Stabilitätsverbesserungen in Merge-Train-Validierungen und Token-Invalidierungen.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: